![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsforscher haben ein Botnetz enttarnt, welches Millionen Smart TVs gekapert hat. Die Millionen Android Smart TV-Ger\u00e4te, die Teil des Popa-Botnets sind, leiteten Webverkehr (Web-Scaping) an dessen Betreiber weiter. Aufgefallen ist dies durch einen massiven Scraping-Vorfall bei Arab Reporters for Investigative Journalism (ARIJ).<\/p>\n
<\/p>\n
Popa ist darauf ausgelegt, Ger\u00e4te zu einem privaten Proxy-Netzwerk zusammenzuschalten (entweder mit oder ohne informierte Zustimmung des Ger\u00e4tebesitzers). Ger\u00e4te, die Teil des Popa-Botnetzes sind, dienen als Relais- oder Ausgangsknoten, um Dritten zu\u00a0 erm\u00f6glichen, ihren Datenverkehr \u00fcber eine scheinbar normale private Internetverbindung zu leiten.<\/p>\n Popa wurde als Plugin-Komponente im Zusammenhang mit dem Vo1d-Botnetz entdeckt. Dabei handelt es sich um eine gro\u00df angelegte Malware-Kampagne, die auf Android-basierte TV-Boxen und \u00e4hnliche Ger\u00e4te abzielt, schreiben die Entdecker. Popa fungiert als Netzwerkebene, die die Tunneling-Funktionen bereitstellt.<\/p>\n Bei Vo1d infiziert und verwaltet das Hauptbotnetz die Ger\u00e4te, w\u00e4hrend das Popa-Modul sp\u00e4ter hinzugef\u00fcgt werden kann. Dann stellt es die Kommunikation mit der Command-and-Control-Infrastruktur her, und registriert das Ger\u00e4t. Dabei wird das Ger\u00e4t in einen Knoten umgewandelt, der Datenverkehr f\u00fcr den Betreiber des privaten Proxys weiterleiten kann. Popa kann auch in kompromittierte Anwendungen integriert werden, darunter VPNs, Streaming-Dienste, Spiele oder Torrent-Clients. Das k\u00f6nnen auch raubkopierte und infizierte Apps oder Open Source-Apps sein.<\/p>\n Im Mai 2026 wurde die Website von \"Arab Reporters for Investigative Journalism\" (ARIJ) Ziel eines gro\u00df angelegten Scraping-Angriffs. Dabei wurde der Traffic von etwa 1,35 Millionen eindeutigen IP-Adressen erzeugt, die sich auf mehr als 7.300 autonome Systeme und 223 L\u00e4ndercodes verteilten.<\/p>\n Die Untersuchung von Qurium mit dem Titel \"Opaque Scrapers Hiding in the Crowd<\/a>\" (mit weiteren Artikeln hier zu finden<\/a>) deckte auf, dass das beobachtete Verhalten des massiven Scraper-Angriffs mit dem ISP-integrierten Proxy-Modell des israelischen Unternehmens NetNut \u00fcbereinstimmte. NetNut behauptet, Inhalte in gro\u00dfem Umfang ohne den Einsatz von Proxys zu scrapen.<\/p>\n Knapp \u00a0einen Monat nach der Ver\u00f6ffentlichung von \u201eOpaque Scrapers\" ver\u00f6ffentlicht Qurium in Zusammenarbeit mit unabh\u00e4ngigen Forschern im Bereich Threat Intelligence \u2013 darunter das Nokia Deepfield Emergency Response Team und Synthient \u2013 neue Erkenntnisse. Die Popa-Infrastruktur wurde beim Scraping-Vorfall missbraucht. Popa geh\u00f6rt zu einer Familie von Residential-Proxy-Software, die Verbraucherger\u00e4te wie Smart TVs in Internet-Relay-Knoten verwandelt.<\/p>\n Das Thema Web Scraping \u00fcber Smart TV hatte ich vor einigen Tagen schon mal im Blog (siehe Link am Artikelende) – allerdings nicht im Zusammenhang mit einem Botnet. Die Israelische Firma Bright Data hat mich bereits zwei Mal aufgefordert, den Blog-Beitrag \"wegen irref\u00fchrender Behauptungen\" zu l\u00f6schen und besteht darauf, dass das alles im Konsens mit den Benutzern passiert.<\/p><\/blockquote>\n Die Sicherheitsforscher verd\u00e4chtigen anhand vieler Indizien, die im Artikel beschrieben werden, die Firmen NetNut und Alarum Technologies das Popa-Botnet zu betreiben. Verbindungen, die mit Popa zusammen h\u00e4ngen, f\u00fchren zu Moshe (Moishi) Yehuda Kramer. Dieser gr\u00fcndete NinjaTech SIA in Riga (aufgel\u00f6st 2022), und ist Mitgr\u00fcnder von NetNut und auch bei Alarum Technologies aktiv. Details lassen sich im Beitrag Finding \"Popa\": When Your Smart TV Stops Being Yours<\/a> nachlesen. Ein deutschsprachiger Beitrag findet sich hier<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsforscher haben ein Botnetz enttarnt, welches Millionen Smart TVs gekapert hat. Die Millionen Android Smart TV-Ger\u00e4te, die Teil des Popa-Botnets sind, leiteten Webverkehr (Web-Scaping) an dessen Betreiber weiter. Aufgefallen ist dies durch einen massiven Scraping-Vorfall bei Arab Reporters for Investigative … Weiterlesen Ich bin \u00fcber diverse Tweets auf den Sachverhalt gesto\u00dfen, der von den Qurium- Sicherheitsforschern im Beitrag Finding \"Popa\": When Your Smart TV Stops Being Yours<\/a> offen gelegt wurde.<\/p>\n
![\"Popa-Botnet\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/Popa-Botnet.jpg\")
<\/a><\/p>\nDas Konzept des Popa-Botnetzes<\/h2>\n
Entdeckung des Popa-Botnetzes<\/h2>\n
\nWie Smart TV-Ger\u00e4te und Streaming-Anbieter die Zuschauer tracken<\/a>
\nIsraelische Firma Bright Data nutzt Apps in Smart-TV f\u00fcr KI-Web-Scraping<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"